Erfaringer med datakvalitet og & data governance

Transkript

1 VP SECURITIES A/S Erfaringer med datakvalitet og & data governance Bent Poulsen Chief Auditor

2 Historie 1980 Etablering af VP 1983 Verdens første til at dematerialisere obligationer 1988 Dematerialisering af aktier 1997 Kåret til bedste CSD i verden 2000 VP omdannes til et aktieselskab 2002 Fra værdipapircentral til værdipapirservice 2005 Projekt i Mexico i gangsættes 2006 VP overtager aktiebogsforretning fra Danske Bank og Nordea 2007 VP overtager FundingXperten fra Totalkredit og udsteder de første lån i Mexico 2009 Værdipapircentralen A/S skifter navn til VP SECURITIES A/S VP SECURITIES lancerer og afholder den første elektroniske generalforsamling

3 VP s organization VP SECURITIES VP SERVICES VP MEX Internal Audit Executive Board 170 employees VP LUX President & CEO Finance Corporate development HR Business & Customer Service Issuer Service IT Services

4 VP s Clearing & Custody forretning VP SECURITIES A/S

5 Forretningsstrategi Sikker og stabil daglig drift Udvikle og vedligeholde eksisterende produkter så de understøtter kundernes forretningsmæssige muligheder bedst muligt Tilbyde nye forretningsmæssige services som en naturlig forlængelse til de services VP tilbyder i dag Udstedelse Invest. planlæg. Handel Clearing & afvikling Back Office & Custody Kapitalforvalt. Performance

6 Hvad kan VP s Clearing & Custody forretning tilbyde? Udstedelse Udvikling og drift af værdipapirsystemer Kontoføring Kunde Clearing og afvikling Custody service

7 VP s Clearing & Custody forretning i tal Omsætning i markedsværdi: Obligationer: mia. kr. Aktier: mia. kr. Daglig omsætning: Ca. 148 mia. kr. Omkring handler Værdipapirer i depot (værdi): mia. kr. Antal serier: Obligationer: serier Aktier: serier Antal konti: 3,6 mio.

8 VP LUX Selskabet Godkendt som værdipapircentral i Luxembourg til udstedelse af euroobligationer Aktieselskab med en kapital på EUR 3 mio. og back-up garantier på 70 mio. EUR VP LLX er 100 pct. ejes af VP SECURITIES A / S. Værdipapir Første trin: EUR-obligationer Næste skridt: Øvrige værdipapirer Dematerialisering (i øjeblikket kun dansk lov) og immobilisering Første udstedelse: oktober 2008 Systemet Link til VP DK, Clearstream Banking Luxembourg og Euroclear Bank En kopi af VP-system med begrænset funktionalitet Professionelle investorer: IT og operationer udliciteres til VP DK RTGS- og centralbankens penge - Target2 afviklingssystemet

9 Risici? Erstatningspligt Kapitalberedskab - 1,1 milliard DKK Ingen modpartsrisiko (DVP) Godkendt i henhold til EU s direktiv om Settlement Finality Katastrofeberedskab maksimalt 1 time Klagenævn Tilsyn af Finanstilsynet og Fondsrådet Lovgivning ECB

10 Datakvalitet

11 Data Quality The state of Completeness Validity Consistency Timeliness Accuracy that makes data appropriate for a specific use The totality of features and characteristics of data that bears on their ability to satisfy a given purpose Problems relate as much to inconsistent data as they do to incorrect data

12 Data-konsistens - VP Fundament transaktionssystemer samlet på host har kun ét DB2 system til VP systemet transaktionsdata forefindes alene i DB2 moderate datamængder (DB2= 113 Gbyte) Overskuelig konsekvens og tidligt opdaget fejl det seneste døgns DB log er online tilgængelig (ca. 5 Gbyte) rollback via CA Log Analyzer få timer Uoverskuelig konsekvens eller sent opdaget fejl restore af database evt. rollforward via DB log restore tager 4 timer

13 International regulering BIS Basel Committee OECD EU Directives IFRS IFAC / IAASB SEC / CESR

14 Standarder / Frameworks CPSS / IOSCO ESCB / CESR ISO27002 ISF SOGP COSO COBIT

15 National regulering Lov om finansiel virksomhed Bogføringsbekendtgøre l-se Corporate Governance Værdipapirhandelslov Systemrevisionsbekendtgørelse Persondatalov

16 Internationale krav BIS og IOSCO har offentliggjort 19 anbefalinger omkring værdipapirsystemer VP er bedømt I forhold til anbefalingerne, og den overordnede konklusion er, at VP overholder alle anbefalingerne. has been assessed according to the recommendations and the overall conclusion is that VP meets all of the recommendations. Bedømmelsen blev gennemført af Finanstilsynet og Nationalbanken. BIS (Bank for International Settlements) IOSCO (International Organization of Securities Commissions)

17 The Assessment (1)

18 The Assessment (2)

19 Risk Management

20 Planlægning/dokumentation Nye (eller ændrede) systemer/procedurer Gennemførsel af risikoanalyse og valg af kontroller Et team, herunder ejeren, IT og revision De relevante aktiviteter godkendes af ejeren eller styregruppe og inkluderes i projektet Vedligeholdelse af det sikkerhedsmæssige regelsæt Notesbaseret workflow system Sikkerhedsadministration udarbejder udkast Ejeren godkender Revision reviewer og anbefaler (eller anbefaler ændringer) Ledelsen (CIO, CFO, COO or CMO) godkender

21 Indflydelse på IT og informationssystemer Stort set alle processer er automatiserede og derfor vil ny regulering (eller ændringer i eksisterende) have indflydelse på IT og informationssystemer Change Management procedurer sikrer styring og dokumentation af implementeringen

22 VP s sikkerhedspolitik Det overordnede mål for sikkerheden er at beskytte de værdier, som VP er betroet. Det er afgørende, at omverdenen kan have ubetinget tillid til systemer og rutiner i VP. På områder, som vedrører beskyttelsen af de betroede værdier og fortroligheden omkring registreringen af disse, er målet et sikkerhedsniveau, som fuldt ud er på højde med de bedst sikrede i den finansielle sektor. VP ønsker at skabe sikre og stabile systemer i et miljø, der på den ene side er ubureaukratisk og kreativt, men hvor der på den anden side tages hensyn til sikkerhed, og hvor kvalitetssikring er en naturlig del af arbejdet. VP ønsker at beskytte medarbejderne mod uberettiget mistanke om forsætlig eller uforsætlig ødelæggelse af data og systemer. Anvendelsen af teknologiske muligheder vurderes løbende med henblik på forbedring af sikkerheden. VP s bestyrelse

23 Sikkerhedsmæssige regelsæt Function descriptions Security policy Inddelt i følgende undergrupper : Organisation and security responsibilities Security regulations Procedures Standards Change & problem mngt Systems & data Operations Risk assessment Controls Integrated security Physical access control Segregation of duties Security of supply Data communications Logical access control

24 VP s Security Regulation: Systems and Data Data Governance Security standards and Procedures Standard for naming of data/dataset Data ownership Classification of data (sensitive/non-sensitive) Overview over data in production (inventory of critical information) Backup procedures / retention period Other security regulations cover issues that are closely related to Data Governance e.g. change management, contingency, confidentiality, integrity and availability. VP has a housing agreement with IBM Service Delivery Center Danmark A/S. Data governance is assessed/benchmarked as part of the ISF Survey.

25 Benchmarking ISF Survey 'Copyright Information Security Forum Limited'

26 Sporbarhed Krav om interne kontroller + sikkerhedsforanstaltninger, der sikrer mod ødelæggelse, forsvinden eller forvanskning Transaktionsspor skal sikre, at der er oplysninger om det, der identificerer transaktionen (f.eks. transaktionskode, afsenderreference) de programmer, der behandler transaktionen fra start til slut, dvs. sætter fingeraftryk (f.eks. tidsstempling, programnavn), så transaktionen kan følges fra den modtages i VP, igennem de stadier/behandlinger transaktionen gennemgår før en endelig registrering eller afvisning finder sted Kontrolspor (dokumentation af registreringens rigtighed) skal sikre, at enhver registrering er autoriseret - at den er godkendt af en dertil bemyndiget komplet - at en godkendt registrering er gennemført nøjagtig - at indholdet i en enkelt registrering er rigtig konsistent - at de enkelte registreringer hænger logisk sammen rettidigt - tidspunkt for modtagelse

27 IBM s Data Governance Council

28 Basel II Basel III Basel II introducerede nye risikostyringsregler om bl.a. operationel risikostyring Basel III er mindre epokegørende set med risikostyringsoptik Basel II-reglerne er blandt de primære risikofaktorer hos virksomheder som VP Basel III s fokus er mere på likviditetsstyring og kapitalbuffere og dermed primært relevant for bankerne, realkreditten og de øvrige værdipapirudstedere (der jo alle er VP-kunder, hvorfor Base III også indirekte har betydning for os)

29 VP SECURITIES A/S Vil du vide mere? Besøg for yderligere information